ES2911500T3 - Physically Secured Authorization for Utility Applications - Google Patents
Physically Secured Authorization for Utility Applications Download PDFInfo
- Publication number
- ES2911500T3 ES2911500T3 ES20154890T ES20154890T ES2911500T3 ES 2911500 T3 ES2911500 T3 ES 2911500T3 ES 20154890 T ES20154890 T ES 20154890T ES 20154890 T ES20154890 T ES 20154890T ES 2911500 T3 ES2911500 T3 ES 2911500T3
- Authority
- ES
- Spain
- Prior art keywords
- certificate
- physically secure
- data center
- secure environment
- access points
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title description 13
- 238000000034 method Methods 0.000 claims abstract description 16
- 230000001010 compromised effect Effects 0.000 claims abstract description 7
- 230000004044 response Effects 0.000 claims abstract description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 241000273930 Brevoortia tyrannus Species 0.000 description 44
- 238000007726 management method Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000005611 electricity Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 241000282344 Mellivora capensis Species 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
- Selective Calling Equipment (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Professional, Industrial, Or Sporting Protective Garments (AREA)
- Gloves (AREA)
- Materials For Medical Uses (AREA)
Abstract
Un procedimiento de operación de una red que tiene una pluralidad de puntos finales (26) que se comunican con un primer centro de datos (70) y un segundo centro de datos (72) a través de puntos de acceso (AP), en el que el primer centro de datos (70) incluye un primer entorno físicamente seguro que tiene un primer certificado, y el segundo centro de datos (72) incluye un segundo entorno físicamente seguro que tiene un segundo certificado, comprendiendo el procedimiento: recibir, por parte del segundo entorno físicamente seguro, una indicación de que la seguridad del primer entorno seguro ha sido comprometida; y en respuesta a la recepción de la indicación, emitir, por el segundo entorno físicamente seguro, una orden a los puntos de acceso para configurar una lista de revocación de certificados que indique que el certificado asociado al primer entorno físicamente seguro no es válido; y emitir, por parte del segundo entorno físicamente seguro, una orden a los nodos de los puntos finales para que carguen la lista de revocación de certificados desde cualquiera de los puntos de acceso.A method of operating a network having a plurality of endpoints (26) that communicate with a first data center (70) and a second data center (72) through access points (APs), in which that the first data center (70) includes a first physically secure environment having a first certificate, and the second data center (72) includes a second physically secure environment having a second certificate, the procedure comprising: receiving, by of the second physically secure environment, an indication that the security of the first secure environment has been compromised; and in response to receiving the indication, issuing, by the second physically secure environment, a command to the access points to configure a certificate revocation list indicating that the certificate associated with the first physically secure environment is not valid; and issuing, by the second physically secure environment, a command to the endpoint nodes to load the certificate revocation list from any of the access points.
Description
DESCRIPCIÓNDESCRIPTION
Autorización físicamente asegurada para aplicaciones de servicios públicosPhysically Secured Authorization for Utility Applications
Campo técnicotechnical field
La presente divulgación se refiere a la gestión y el control de operaciones asociadas a las empresas de servicios públicos, y más concretamente a la seguridad de los sistemas que gestionan y controlan dichas operaciones.This disclosure refers to the management and control of operations associated with public service companies, and more specifically to the security of the systems that manage and control said operations.
AntecedentesBackground
Las empresas de servicios públicos tienen sistemas complejos y altamente interconectados, que se ejecutan en servidores físicos que ejecutan una multitud de módulos de software asociados para gestionar y controlar las operaciones de la empresa de servicios públicos. La figura 1 es un diagrama de bloques general de algunos de los componentes que pueden encontrarse en un sistema típico de gestión y control de una empresa de servicios públicos que suministra energía eléctrica a los clientes, y posiblemente otros productos básicos como gas, agua, etc. El back office (oficina de gestión de la empresa) 10 del sistema comprende una serie de subsistemas individuales asociados a diversas operaciones de la empresa, por ejemplo un sistema de información al cliente (CIS) 12, un módulo de relaciones con el cliente (CRM) 14, un sistema de gestión de interrupciones (OMS) 16, un sistema de información GPS 18, un sistema de facturación 20, un módulo de estabilidad de la red 22 y una interfaz de usuario 24. Aunque no se ilustra en la figura 1, pueden existir otros módulos funcionales en el back office 10. Algunos de estos subsistemas pueden tener la capacidad de comunicarse con los dispositivos de la red de distribución de los servicios que se suministran, y controlar a distancia las operaciones asociadas a esos dispositivos. Por ejemplo, el servidor de back office puede comunicarse con los contadores individuales 26 situados en las instalaciones de los clientes para obtener datos de consumo con fines de facturación, y ordenar a los contadores que desconecten o reconecten selectivamente al cliente del suministro de uno o más de los productos básicos proporcionados por la empresa de servicios públicos. Otras órdenes del servidor de back office a los contadores individuales pueden incluir órdenes para aceptar el flujo de energía saliente de los clientes.Utilities have complex and highly interconnected systems, running on physical servers running a multitude of associated software modules to manage and control utility operations. Figure 1 is a general block diagram of some of the components that can be found in a typical management and control system of a utility company that supplies electricity to customers, and possibly other basic products such as gas, water, etc. . The back office (company management office) 10 of the system comprises a series of individual subsystems associated with various operations of the company, for example a customer information system (CIS) 12, a customer relations module (CRM ) 14, an outage management system (OMS) 16, a GPS information system 18, a billing system 20, a network stability module 22, and a user interface 24. Although not illustrated in Fig. 1 , there may be other functional modules in the back office 10. Some of these subsystems may have the ability to communicate with the devices of the distribution network of the services that are supplied, and remotely control the operations associated with these devices. For example, the back office server may communicate with individual meters 26 located at customer premises to obtain consumption data for billing purposes, and direct the meters to selectively disconnect or reconnect the customer from the supply of one or more of the basic products provided by the utility company. Other commands from the back office server to individual meters may include commands to accept the flow of outgoing energy from customers.
En el ejemplo de la Figura 1, los contadores constituyen nodos finales que se comunican con el back office por medio de una red de área local 30 que tiene puntos de acceso 32 que proporcionan salida y entrada a la red. La red de área local puede ser una red de malla inalámbrica. Los puntos de acceso 32 se comunican con los servidores del back office 10 mediante una red de área amplia 34 o un enlace de comunicaciones dedicado.In the example of Figure 1, the meters constitute end nodes that communicate with the back office via a local area network 30 that has access points 32 that provide input and output to the network. The local area network may be a wireless mesh network. The access points 32 communicate with the back office servers 10 via a wide area network 34 or a dedicated communications link.
En un sistema de este tipo, una cuestión que preocupa es la gestión segura de las desconexiones y reconexiones remotas, que pueden producirse cuando un cliente abandona un local o no cumple con los pagos, o cuando un nuevo cliente toma posesión del local, respectivamente. Las órdenes malintencionadas o erróneas de desconexión y/o reconexión de forma remota de instalaciones pueden desestabilizar la red de distribución de energía eléctrica. Las reconexiones no autorizadas también podrían provocar el robo de energía distribuida. Para limitar estas posibilidades, hay que hacer esfuerzos para garantizar que las operaciones de mando y control se realicen de forma segura, y sólo por parte de las entidades autorizadas para llevarlas a cabo tales operaciones. Sin embargo, dado que el back office de una empresa típica de servicios públicos se compone de una variedad de sistemas interconectados, la aplicación del acceso seguro se hace difícil. Muchos grupos diferentes dentro de la empresa de servicios públicos necesitan acceder a todo o parte del sistema de software, lo que complica la capacidad de limitar el acceso lógico y/o físico a subsistemas individuales.In such a system, one issue of concern is the secure management of remote disconnections and reconnections, which can occur when a customer leaves a location or defaults on payments, or when a new customer takes over the location, respectively. Malicious or erroneous orders to remotely disconnect and/or reconnect installations can destabilize the electricity distribution network. Unauthorized reconnections could also lead to distributed power theft. To limit these possibilities, efforts must be made to ensure that command and control operations are conducted safely, and only by entities authorized to conduct such operations. However, since the back office of a typical utility is made up of a variety of interconnected systems, enforcement of secure access becomes difficult. Many different groups within the utility need to access all or part of the software system, complicating the ability to limit logical and/or physical access to individual subsystems.
Una posible solución a este problema es colocar ciertos sistemas, o partes de dichos sistemas, dentro de un entorno físicamente seguro, denominado en adelante búnker. Entre los ejemplos de búnker se encuentran una sala o contenedor de acceso restringido, por ejemplo, una sala cerrada con llave, y una carcasa o recinto a prueba de manipulaciones alrededor de un sistema protegido. El búnker restringe severamente el acceso físico a los dispositivos de hardware en los que se ejecutan los sistemas, o partes protegidas de los mismos. Además, los sistemas dentro del búnker exportan un acceso lógico muy limitado. Sin embargo, esta solución sigue presentando un problema, ya que es difícil refactorizar los sistemas de software de las empresas de servicios públicos para determinar qué partes deben estar dentro del búnker y qué partes pueden permanecer fuera de él para proporcionar un acceso más flexible a quienes lo necesitan.A possible solution to this problem is to place certain systems, or parts of said systems, within a physically secure environment, hereinafter referred to as a bunker. Examples of a bunker include a restricted access room or container, for example a locked room, and a tamper-proof enclosure or enclosure around a protected system. The bunker severely restricts physical access to the hardware devices on which the systems run, or protected parts of them. Also, the systems inside the bunker export very limited logical access. However, this solution still presents a problem as it is difficult to refactor utility software systems to determine which parts should be inside the bunker and which parts can stay outside to provide more flexible access to those who need it. they need it.
El documento US2006/095454 describe un sistema y un procedimiento para la autenticación segura de la identidad del terminal en colaboración entre un dispositivo de comunicación inalámbrica y un operador inalámbrico. El documento WO02/063847 describe la distribución de certificados móviles en una PKI.Document US2006/095454 describes a system and method for secure authentication of terminal identity in collaboration between a wireless communication device and a wireless operator. WO02/063847 describes the distribution of mobile certificates in a PKI.
SumarioSummary
Para proporcionar seguridad general a un sistema de gestión de servicios públicos, se requiere que los mensajes de órdenes y control críticos que se emiten a los componentes del sistema sean aprobados explícitamente por una autoridad segura. La aprobación explícita autentifica la acción solicitada y autoriza la realización de la acción específica indicada en un mensaje. Los componentes clave del sistema de gestión y control de los servicios públicos que están asociados al control de acceso se encuentran en un entorno físicamente seguro. Con este enfoque, sólo es necesario asegurar físicamente los subsistemas que se encargan de aprobar las acciones de la red, por ejemplo, mediante un búnker. En otras palabras, la mayoría de los módulos de gestión, como el CIS, CRM, OMS, facturación, etc. pueden permanecer fuera del búnker, evitando así la necesidad de dividir esos subsistemas en componentes bunkerizados y no bunkerizados. El acceso a los componentes críticos de cada uno de los subsistemas no bunkerizados se controla a través del sistema de aprobación bunkerizado.To provide overall security for a utility management system, critical command and control messages issued to system components are required to be explicitly approved by a secure authority. Explicit approval authenticates the requested action and authorizes the performance of the specific action indicated in a message. The key components of the public services management and control system that are associated with access control are located in a physically secure environment. With this approach, it is only necessary to physically secure the subsystems that are responsible for approving network actions, for example, by means of a bunker. In other words, most of the management modules, such as CIS, CRM, OMS, billing, etc. they can remain outside the bunker, thus avoiding the need to divide those subsystems into bunkered and non-bunkered components. Access to critical components of each of the non-bunkered subsystems is controlled through the bunkered approval system.
La invención a la que se refiere esta patente europea se define en las reivindicaciones adjuntas.The invention to which this European patent relates is defined in the appended claims.
Breve descripción de las figurasBrief description of the figures
La figura 1 es un diagrama de bloques general de un sistema de gestión y control de servicios públicos según un ejemplo útil para comprender la presente divulgación;Figure 1 is a general block diagram of a utility management and control system according to a useful example for understanding the present disclosure;
La figura 2 es un diagrama de bloques de un sistema de back office de servicios públicos con componentes bunkerizados según un ejemplo útil para entender la presente divulgación;Figure 2 is a block diagram of a utility back office system with bunkered components according to an example useful for understanding the present disclosure;
La figura 3 es un diagrama de bloques que representa esquemáticamente el flujo de datos cuando se envía un mensaje a un contador según un ejemplo útil para comprender la presente divulgación;Figure 3 is a block diagram schematically representing the data flow when sending a message to a meter according to an example useful for understanding the present disclosure;
La figura 4 es un diagrama de bloques de la configuración de un módulo de seguridad de hardware según un ejemplo útil para entender la presente divulgación;Figure 4 is a block diagram of the configuration of a hardware security module according to an example useful for understanding the present disclosure;
La figura 5 es un diagrama de bloques de una memoria intermedia de varias etapas que cuenta las operaciones criptográficas a lo largo de una ventana deslizante según un ejemplo útil para comprender la presente divulgación; Figure 5 is a block diagram of a multistage buffer that counts cryptographic operations over a sliding window according to an example useful for understanding the present disclosure;
La figura 6 ilustra un ejemplo de sistema y procedimiento de emisión de permisos de órdenes según un ejemplo útil para la comprensión de la presente divulgación;Figure 6 illustrates an example system and procedure for issuing order permits according to an example useful for understanding the present disclosure;
La figura 7 es un diagrama de bloques de un formato ejemplar de una carga útil de permiso según un ejemplo útil para comprender la presente divulgación; yFigure 7 is a block diagram of an exemplary format of a permission payload according to an example useful in understanding the present disclosure; Y
La figura 8 es un diagrama de bloques de un sistema de control y gestión de servicios públicos implementados en múltiples centros de datos según una realización de la invención a la que se refiere esta patente europea. Figure 8 is a block diagram of a utility control and management system implemented in multiple data centers according to an embodiment of the invention to which this European patent relates.
Descripción detalladaDetailed description
Para facilitar la comprensión de los principios en los que se basa la presente divulgación, ésta se describe a continuación con referencia al control seguro de las órdenes de conexión y desconexión remotas en un sistema de distribución de energía eléctrica. No obstante, se apreciará que este ejemplo no es la única aplicación práctica de estos principios. Más bien, pueden emplearse en relación con cualquier tipo de orden crítica que, si se emite de forma inadecuada o errónea, podría tener el potencial de perturbar o dañar gravemente un sistema. Asimismo, pueden utilizarse junto con todas las órdenes y mensajes de control enviados a un componente crítico del sistema cuyo funcionamiento correcto es esencial en todo momento.In order to facilitate the understanding of the principles on which this disclosure is based, it is described below with reference to the safe control of remote connection and disconnection commands in an electrical power distribution system. However, it will be appreciated that this example is not the only practical application of these principles. Rather, they can be used in connection with any type of critical command that, if improperly or erroneously issued, could have the potential to seriously disrupt or damage a system. They can also be used in conjunction with all commands and control messages sent to a critical system component whose correct operation is essential at all times.
La figura 2 ilustra un ejemplo de un centro de datos 40 en el que se ilustran los conceptos de la presente divulgación. Como es convencional, el centro de datos contiene un número de servidores físicos en los que se ejecutan varias aplicaciones 12, 14, 16. Aunque en la figura sólo se ilustran algunas aplicaciones representativas, se apreciará que se podría implementar un número mayor de dichas aplicaciones dentro del centro de datos. A la inversa, las funciones realizadas por dos o más de las aplicaciones pueden integrarse en un programa único y completo.Figure 2 illustrates an example of a data center 40 in which the concepts of the present disclosure are illustrated. As is conventional, the data center contains a number of physical servers running various applications 12, 14, 16. Although only a few representative applications are illustrated in the figure, it will be appreciated that a larger number of such applications could be implemented. inside the data center. Conversely, the functions performed by two or more of the applications can be integrated into a single, comprehensive program.
También se encuentra dentro del centro de datos un búnker físico 42 con acceso físico limitado, como una sala cerrada con paredes reforzadas. Como otro ejemplo, el búnker puede ser, además de o en lugar de estar cerrado, una zona estrechamente vigilada o protegida mediante cámaras de seguridad, detectores de movimiento, etc. Otro ejemplo es que el búnker puede estar distribuido físicamente, habiéndose establecido una relación de seguridad entre las partes distribuidas. Como otro ejemplo, el búnker puede estar asegurado lógicamente, como por ejemplo, mediante el uso de software y/o firmware de ejecución segura cuya funcionalidad está asegurada contra la manipulación física, como el embalaje autodestructivo. El búnker no tiene por qué ser una habitación, sino que, por ejemplo, puede ser una caja físicamente segura.Also located within the data center is a physical bunker 42 with limited physical access, such as a locked room with reinforced walls. As another example, the bunker can be, in addition to or instead of being closed, an area closely guarded or protected by security cameras, motion detectors, etc. Another example is that the bunker may be physically distributed, a security relationship having been established between the distributed parties. As another example, the bunker may be logically secured, such as through the use of run-safe software and/or firmware whose functionality is secured against physical tampering, such as self-destructive packaging. The bunker does not have to be a room, but can be, for example, a physically secure box.
Uno o más dispositivos de servidor adicionales que tienen un módulo de seguridad de hardware asociado 44 están ubicados dentro del búnker, para la implementación de un motor de autorización 46 que tiene módulos de software que realizan operaciones relacionadas con la seguridad como la autorización, la autenticación y la contabilización. El módulo de seguridad de hardware contiene claves privadas y otras claves secretas de forma segura. También puede contener certificados públicos vinculados a las claves privadas. El módulo de seguridad de hardware utiliza preferentemente un algoritmo de seguridad robusto, como la criptografía de curva elíptica u otro procedimiento criptográfico de alta seguridad, para realizar las operaciones criptográficas. Un ejemplo de módulos de seguridad de hardware que son adecuados para las aplicaciones descritas en este documento es la línea de módulos de seguridad de hardware SafeGuard CryptoServer de Utimaco Safeware AG. One or more additional server devices having an associated hardware security module 44 are located within the bunker, for implementation of an authorization engine 46 having software modules that perform security related operations such as authorization, authentication and accounting. The hardware security module holds private keys and other secret keys securely. It can also contain public certificates linked to private keys. The hardware security module preferably uses a strong security algorithm, such as elliptic curve cryptography or another high security cryptographic method, to perform the cryptographic operations. An example of hardware security modules that are suitable for the applications described in this document is Utimaco Safeware AG's SafeGuard CryptoServer line of hardware security modules.
El acceso seguro al búnker, y a los dispositivos del servidor ubicados dentro de él, puede reforzarse con tecnología de biosensores, por ejemplo, detección de huellas dactilares, llaves físicas o tokens, y/o protección por contraseña. En una implementación, se puede emplear un sistema de seguridad jerárquico y por niveles para maximizar la protección. Si falla un nivel de seguridad, por ejemplo, si se revelan accidentalmente o se roban las contraseñas, puede activarse un mecanismo de seguridad de nivel superior, como una cerradura de cerrojo accionada por clave o token, para mantener la seguridad física de todo el sistema.Secure access to the bunker, and the server devices located within it, can be enhanced with biosensor technology, for example, fingerprint detection, physical keys or tokens, and/or password protection. In an implementation, a hierarchical and layered security system can be employed to maximize protection. If one level of security fails, for example, if passwords are accidentally revealed or stolen, a higher level security mechanism, such as a key or token-actuated deadbolt lock, can be activated to maintain the physical security of the entire system .
Ciertos tipos de órdenes de las aplicaciones de back office 12-16, etc., que no son de uso restringido, no podrán ser ejecutados a menos que sean autenticados individualmente. Por ejemplo, las órdenes de desconexión y reconexión remotas son una categoría de estas órdenes restringidas, debido al potencial que presentan para la perturbación grave de la estabilidad de la red de distribución de energía. Para reforzar la seguridad de este tipo de operaciones, las aplicaciones que las llevan a cabo sólo pueden aceptar órdenes para hacerlo si se originan en una consola dentro del búnker 42, o son autenticadas de otro modo por un permiso emitido desde el búnker 42. Por lo tanto, sólo el personal que tenga autoridad para emitir esas órdenes, y que posea los medios necesarios para acceder al búnker, por ejemplo, contraseña, clave, huella digital, etc., podrá emitir las órdenes restringidas a la aplicación.Certain types of orders from back office applications 12-16, etc., which are not restricted in use, will not be able to be executed unless individually authenticated. For example, remote disconnection and reconnection orders are one category of these restricted orders, due to the potential they present for seriously disturbing the stability of the power distribution network. To enhance the security of these types of operations, the applications that carry them out can only accept commands to do so if they originate from a console within bunker 42, or are otherwise authenticated by a permit issued from bunker 42. Therefore, only personnel who have the authority to issue those orders, and who have the necessary means to access the bunker, for example, password, key, fingerprint, etc., will be able to issue the orders restricted to the application.
Cuando se inicia una operación que provoca la generación de una orden, éste puede ser firmada o autenticada de otro modo por el motor de autorización 46, y luego reenviado a una interfaz de programación de aplicaciones (API) asociada con la aplicación apropiada externa al búnker 42. Por ejemplo, la orden puede ser firmada por una clave privada almacenada dentro del módulo de seguridad de hardware 44. Al recibir la orden firmada en una aplicación externa, por ejemplo, una de las aplicaciones 12-16 o una aplicación que se ejecuta en uno de los contadores 26, se verifica mediante una clave pública a la que la aplicación tiene acceso. Una vez verificado que se ha originado en el búnker, la orden es ejecutada por la aplicación externa.When an operation is initiated that causes an order to be generated, it may be signed or otherwise authenticated by the authorization engine 46, and then forwarded to an application programming interface (API) associated with the appropriate application external to the bunker. 42. For example, the command may be signed by a private key stored within the hardware security module 44. Upon receipt of the signed command in an external application, eg, one of applications 12-16 or an application running in one of the counters 26, it is verified by a public key to which the application has access. Once it has been verified that it has originated in the bunker, the order is executed by the external application.
En algunas situaciones, puede no ser práctico que una entidad que emita órdenes de desconexión remota esté físicamente presente dentro del búnker. Sin embargo, si se admite la generación remota de dichas órdenes, éstas podrían ser emitidas de forma maliciosa por usuarios que se hagan pasar por entidades autorizadas. Para limitar la posibilidad de estos sucesos, se implementa un módulo de política 48 dentro del búnker. El módulo de política puede ser un componente de software o firmware separado, como se muestra en la Figura 2, o estar lógicamente incorporado al módulo de seguridad de hardware, como se describe más adelante. El módulo de política 48 puede ser reconfigurado o reprogramado de forma segura, como por ejemplo mediante órdenes introducidas desde el interior del búnker. Este módulo contiene la lógica comercial que examina una acción solicitada y determina si se permitirá llevarla a cabo. Por ejemplo, si las órdenes de reconexión se emiten en una secuencia, o con una sincronización relativa, que podría perturbar la estabilidad de la red de distribución de energía, pueden ser bloqueadas por la política y no pasar al motor de autorización para su firma. Además, se pueden levantar banderas de política y tomar acciones apropiadas, como desconectar una entidad que emite órdenes, cuando se detectan ciertas condiciones. Estas condiciones pueden incluir, por ejemplo:In some situations, it may not be practical for an entity issuing remote shutdown orders to be physically present inside the bunker. However, if remote generation of such commands is supported, they could be maliciously issued by users posing as authorized entities. To limit the possibility of these events, a policy module 48 is implemented within the bunker. The policy module can be a separate software or firmware component, as shown in Figure 2, or logically embedded in the hardware security module, as described below. The policy module 48 can be safely reconfigured or reprogrammed, such as by commands entered from within the bunker. This module contains the business logic that examines a requested action and determines whether it will be allowed to take place. For example, if reconnection orders are issued in a sequence, or with a relative timing, that could disturb the stability of the power distribution network, they can be blocked by policy and not passed to the authorization engine for signing. In addition, policy flags can be raised and appropriate actions taken, such as shutting down a command-issuing entity, when certain conditions are detected. These conditions may include, for example:
1. Un gran número de órdenes de desconexión remota se emiten al mismo tiempo, por ejemplo, en un intervalo de tiempo predeterminado, lo que indica una posible intención de desconectar maliciosamente a los usuarios de la red de distribución de energía;1. A large number of remote shutdown commands are issued at the same time, for example, at a predetermined time interval, indicating a possible intention to maliciously shut down users from the power distribution network;
2. Las órdenes se emiten en un orden sospechoso, como una secuencia de órdenes repetitivas de conexión y desconexión que se asocian con el mismo cliente, u órdenes que son inconsistentes con el estado actual de un cliente, por ejemplo, emitir una orden de desconexión a un usuario que no está ya conectado a la red eléctrica; 2. Commands are issued in a suspicious order, such as a sequence of repetitive connect and disconnect commands that are associated with the same client, or commands that are inconsistent with the current state of a client, for example, issuing a disconnect command to a user who is no longer connected to the electricity grid;
3. Una aplicación que se solicita no proporciona las credenciales necesarias, o no se autentifica de otra manera; 3. An application that is requested does not provide the necessary credentials, or is not otherwise authenticated;
4. Una aplicación que se solicita no se encuentra entre un conjunto de solicitudes aprobadas que tienen permiso para emitir determinadas operaciones; y4. An application being requested is not among a set of approved requests that are allowed to issue certain operations; Y
5. El estado de la red de distribución, basado en las cargas reales de energía y las necesidades de energía proyectadas.5. The status of the distribution network, based on actual power loads and projected power needs.
Para implementar esta funcionalidad, el búnker puede contener un proxy 50 para las interfaces de programación de aplicaciones (API) de las aplicaciones que son externas al búnker. En funcionamiento, cuando se realiza una llamada a la API para una de estas aplicaciones "externas", la llamada se dirige al proxy 50 dentro del búnker. El proxy consulta la lógica comercial de utilidad en el módulo de políticas 48 que puede ser necesaria para autorizar la solicitud, y hace que la solicitud sea firmada por la lógica comercial apropiada. A continuación, la solicitud se transmite al motor de autorización 46 para su firma. Una vez autorizado, el proxy invoca la API normal para la aplicación llamada que es externa al búnker, y transmite la llamada autorizada.To implement this functionality, the bunker may contain a proxy 50 for application programming interfaces (APIs) of applications that are external to the bunker. In operation, when an API call is made to one of these "external" applications, the call goes to proxy 50 inside the bunker. The proxy consults utility business logic in policy module 48 that may be necessary to authorize the request, and causes the request to be signed by the appropriate business logic. The request is then transmitted to the authorization engine 46 for signing. Once authorized, the proxy invokes the normal API for the called application that is external to the bunker, and relays the authorized call.
En una implementación alternativa, el búnker 42 puede no incluir un proxy. En este caso, se puede hacer una petición directamente a la API de una aplicación externa. A su vez, la aplicación externa llama al motor de autorización dentro del búnker si determina que la operación solicitada requiere una firma. Por defecto, todas las solicitudes podrían pasar al búnker para su autorización, para evitar la necesidad de cualquier determinación por parte de la aplicación externa. In an alternate implementation, bunker 42 may not include a proxy. In this case, a request can be made directly to the API of an external application. In turn, the external application calls the authorization engine inside the bunker if it determines that the requested operation requires a signature. By default, all requests could be bunkered for authorization, to avoid the need for any determination by the external application.
Las solicitudes enviadas al búnker son primero verificadas y firmadas por el módulo de políticas, y luego pasadas al motor de autorización 46. Una vez que se autoriza una solicitud, la aplicación llamada actúa sobre la solicitud.Requests sent to the bunker are first verified and signed by the policy module, and then passed to the authorization engine 46. Once a request is authorized, the called application acts on the request.
El módulo de seguridad de hardware 44 incluido en el búnker 42 puede operar a dos niveles. A continuación se describen ejemplos relacionados con las operaciones que se realizan en los contadores 26. En el primer nivel de operación, la empresa de servicios públicos podría instituir una política según la cual todas las comunicaciones entre una aplicación en el back office 10 y un contador 26, o cualquier otro componente de la red 30, deben estar cifradas y firmadas. La implementación de esta política se representa en el ejemplo de la figura 3. En este ejemplo, una aplicación de gestión de contadores 52 tiene un mensaje, por ejemplo una orden, para enviar a uno o más de los contadores 26. Este mensaje se construye en un módulo de mando e interfaz de contadores 54 de la aplicación, y se envía al módulo de seguridad de hardware 44 del búnker 42, con una solicitud para realizar el cifrado y la firma adecuados del mensaje. El módulo de política 48 puede comprobar en primer lugar para confirmar que la solicitud procede de una fuente autorizada. Si es así, se pasa al módulo de seguridad de hardware. El módulo de seguridad de hardware 44 realiza la operación solicitada sobre el mensaje, utilizando las claves adecuadas asociadas a la aplicación, y devuelve los datos cifrados y firmados. El módulo de mando e interfaz 54 de la aplicación de gestión de contadores crea entonces un paquete de datos que incorpora el mensaje cifrado y firmado, y lo transmite al contador a través de la red 30.The hardware security module 44 included in the bunker 42 can operate at two levels. The following are examples related to the operations that are carried out in the counters 26. At the first level of operation, the utility company could institute a policy according to which all communications between an application in the back office 10 and a counter 26, or any other component of the network 30, must be encrypted and signed. The implementation of this policy is shown in the example of Figure 3. In this example, a meter management application 52 has a message, such as a command, to send to one or more of the meters 26. This message is constructed in a counter control and interface module 54 of the application, and is sent to the hardware security module 44 of the bunker 42, with a request to perform the appropriate encryption and signature of the message. Policy module 48 may first check to confirm that the request is from an authorized source. If so, it is passed to the hardware security module. Hardware security module 44 performs the requested operation on the message, using the appropriate keys associated with the application, and returns the encrypted and signed data. The control and interface module 54 of the meter management application then creates a data packet that incorporates the encrypted and signed message, and transmits it to the meter through the network 30.
En el caso de los mensajes recibidos de los nodos de la red 30 por la aplicación 52, estos se reenvían primero al módulo de seguridad de hardware, para ser descifrados. El módulo 48 también puede realizar cualquier verificación apropiada de la autenticidad del remitente del mensaje recibido, y de la integridad de los datos. El mensaje verificado y descifrado se devuelve entonces a la aplicación 52.In the case of the messages received from the network nodes 30 by the application 52, these are first forwarded to the hardware security module, to be decrypted. Module 48 may also perform any appropriate verification of the authenticity of the sender of the received message, and of the integrity of the data. The verified and decrypted message is then returned to the application 52.
Para las operaciones críticas, como las conexiones y desconexiones remotas, el módulo de seguridad de hardware puede operar en un segundo nivel para hacer cumplir un límite de tasa en tales operaciones. La figura 4 muestra un ejemplo de configuración interna de un módulo de seguridad de hardware. El módulo está configurado con un número de ranuras. Cada ranura contiene una colección de claves privadas, certificados, claves secretas y privilegios de acceso, para realizar servicios criptográficos como la firma, el cifrado, el descifrado, etc. Las diferentes ranuras están asociadas a diferentes contextos de seguridad, y contienen las claves, certificados y otra información pertinente a sus respectivos contextos. La realización de un servicio criptográfico en una orden con el módulo de seguridad de hardware, como la firma con una clave privada, permite al receptor de la orden, por ejemplo, un nodo 26, autenticar la fuente de la orden, utilizando una clave pública asociada. El módulo de política 48 realiza la determinación inicial de si se permite presentar una orden solicitada al módulo de seguridad de hardware para uno o más servicios criptográficos.For critical operations, such as remote connections and disconnections, the hardware security module can operate at a second level to enforce a rate limit on such operations. Figure 4 shows an example of the internal configuration of a hardware security module. The module is configured with a number of slots. Each slot contains a collection of private keys, certificates, secret keys, and access privileges, to perform cryptographic services such as signing, encryption, decryption, etc. Different slots are associated with different security contexts, and contain the keys, certificates, and other information relevant to their respective contexts. Performing a cryptographic service on an order with the hardware security module, such as signing with a private key, allows the recipient of the order, for example, a node 26, to authenticate the source of the order, using a public key. associated. The policy module 48 makes the initial determination of whether to submit a requested command to the hardware security module for one or more cryptographic services.
Cada ranura puede configurarse selectivamente con uno o más límites de tasa, por ejemplo mediante una herramienta de administración de línea de órdenes, para hacer cumplir la lógica comercial deseada. Un ejemplo de orden para configurar una ranura es el siguiente:Each slot can be selectively configured with one or more rate limits, for example by a command line management tool, to enforce desired trading logic. An example of the order to configure a slot is as follows:
HSM_configure slot=2 rate-name="ratel" window=24h count=10000HSM_configure slot=2 rate-name="ratel" window=24h count=10000
Dicha orden configura la Ranura 2 con un límite de tasa máxima de 10.000 operaciones criptográficas por ventana deslizante de 24 horas. Si se produce más de este número asignado de operaciones criptográficas en las 24 horas anteriores, la ranura detiene todas las operaciones criptográficas adicionales. A partir de entonces, será necesario que un administrador reinicie la ranura enviando una orden de reinicio.Said order configures Slot 2 with a maximum rate limit of 10,000 crypto operations per 24-hour sliding window. If more than this allotted number of crypto operations occur in the previous 24 hours, the slot stops all further crypto operations. Thereafter, an administrator will need to reset the slot by sending a reset command.
Una ranura puede configurarse con más de una tasa, como se indica a continuación:A slot can be configured with more than one rate, as follows:
HSM_configure slot=2 rate-name="ratel" window=24h count=40000HSM_configure slot=2 rate-name="ratel" window=24h count=40000
HSM_configure slot=2 rate-name="rate2" window=60m count=2000HSM_configure slot=2 rate-name="rate2" window=60m count=2000
Estas dos órdenes configuran la ranura 2 con dos ventanas de límite de tasa, una para 40.000 operaciones criptográficas en una ventana deslizante de 24 horas, y otra para 2.000 operaciones criptográficas en una ventana deslizante de 60 minutos.These two orders set up slot 2 with two rate limit windows, one for 40,000 crypto trades in a 24-hour sliding window, and one for 2,000 crypto trades in a 60-minute sliding window.
Si una ranura está configurada con un límite de tasa, todas las operaciones criptográficas ejecutadas en la ranura son contadas contra el límite asignado sobre una ventana deslizante. En el ejemplo anterior, si hay más de 40.000 operaciones criptográficas en las últimas 24 horas, o más de 2.000 operaciones criptográficas en los últimos 60 minutos, la ranura detiene cualquier otra operación criptográfica.If a slot is configured with a rate limit, all cryptographic operations executed on the slot are counted against the assigned limit over a sliding window. In the example above, if there are more than 40,000 crypto operations in the last 24 hours, or more than 2,000 crypto operations in the last 60 minutes, the slot stops any further crypto operations.
La contabilización de las violaciones del umbral puede realizarse en incrementos de 5 minutos. La figura 5 ilustra un ejemplo en el que se ha configurado una ranura con un límite de 800 operaciones criptográficas en una ventana deslizante de 25 minutos. La ventana deslizante puede ser implementada como una memoria intermedia de varias etapas 56. La memoria intermedia ilustrada comprende cinco etapas 58, cada una de las cuales representa un intervalo de tiempo de 5 minutos. Cada etapa contiene un recuento del número de operaciones criptográficas realizadas por la ranura durante su correspondiente intervalo de tiempo. La siguiente tabla proporciona una instantánea de los datos contenidos en la memoria intermedia en un momento dado. Counting of threshold violations can be done in 5-minute increments. Figure 5 illustrates an example where a slot has been configured with a limit of 800 crypto operations in a 25-minute sliding window. The sliding window can be implemented as a multi-stage buffer 56. The illustrated buffer comprises five stages 58, each representing a 5 minute time interval. Each stage contains a count of the number of cryptographic operations performed by the slot during its corresponding time interval. The following table provides a snapshot of the data contained in the buffer at any given time.
Si la suma de todos los recuentos, en este caso 15+0+7+1+6 = 29, supera el umbral, la ranura detiene todas las operaciones criptográficas adicionales hasta que se reinicie administrativamente. Se puede implementar un mecanismo de alerta para notificar al personal administrativo antes de que se detengan las operaciones. Por ejemplo, puede generarse una primera alerta cuando el recuento total supere el 80% de un límite de tasa, y una segunda alerta si alcanza el 90% del límite.If the sum of all counts, in this case 15+0+7+1+6 = 29, exceeds the threshold, the slot stops all further cryptographic operations until it is administratively restarted. An alert mechanism can be implemented to notify administrative staff before operations stop. For example, a first alert can be generated when the total count exceeds 80% of a rate limit, and a second alert if it reaches 90% of the limit.
La etapa asociada al intervalo más reciente, en este caso la Etapa 5, mantiene un recuento continuo de cada nueva operación criptográfica. Al final de cada intervalo de 5 minutos, los recuentos almacenados se desplazan a la siguiente etapa más antigua. La última etapa se restablece a cero, y comienza a contar de nuevo las operaciones criptográficas para el siguiente intervalo de 5 minutos.The stage associated with the most recent interval, in this case Stage 5, keeps a running count of each new cryptographic operation. At the end of each 5 minute interval, the stored counts roll over to the next oldest stage. The last stage resets to zero, and starts counting crypto operations again for the next 5-minute interval.
Dado que cada ranura puede configurarse selectivamente con sus propios límites de tasa, se proporciona flexibilidad en la implementación de la lógica comercial. Por ejemplo, como se describe más adelante, ciertas órdenes críticas pueden requerir un tipo explícito de autenticación, en adelante denominado "permiso", antes de poder ser ejecutados. Estas órdenes pueden ser asignadas a un contexto de seguridad que se asocia con una ranura que lleva a cabo los procedimientos de permiso, y tienen límites de tasa particularmente estrictos. Otros tipos de "ordenes pueden ser asignadas a diferentes contextos de seguridad y ser cifradas y/o firmadas a través de una ranura diferente que tenga límites de tasa menos estrictos.Since each slot can be selectively configured with its own rate limits, flexibility in implementing business logic is provided. For example, as described below, certain critical commands may require an explicit type of authentication, hereinafter referred to as "permission", before they can be executed. These commands can be assigned to a security context that is associated with a slot that performs the permission procedures, and they have particularly strict rate limits. Other types of "commands" may be assigned to different security contexts and be encrypted and/or signed through a different slot that has less stringent rate limits.
Para las órdenes críticas, como las órdenes de desconexión y reconexión remotas, puede ser apropiado un nivel más alto de seguridad, como la aprobación por múltiples partes, cada una de las cuales debe ser autenticada en el nodo receptor. Sin embargo, desde el punto de vista de la eficiencia de la red, es deseable que el nodo, al que se dirige la orden, sólo tenga que ser contactado una vez para ejecutar la orden. Estos objetivos pueden alcanzarse mediante un sistema de permisos que proporcione toda la información necesaria para que el nodo pueda autentificar una orden. Esencialmente, cada orden crítica que se envíe a una aplicación, como una orden de desconexión a un contador, puede requerir ir acompañada de un permiso. Como se ha señalado anteriormente, diferentes tipos de órdenes pueden ser asignados a diferentes contextos de seguridad. Cuando se va a emitir una orden, ya sea automáticamente por una aplicación o a través de una interfaz de usuario, la aplicación emisora comprueba el contexto de seguridad de la orden. Si se requiere encriptación, la orden se reenvía a una ranura apropiada del módulo de seguridad de hardware para tal operación. Si se determina que el contexto de seguridad requiere un permiso, la orden se reenvía a un servidor de permisos en el búnker, que emite los permisos. La función del servidor de permisos puede ser implementada por una ranura en el módulo de seguridad de hardware.For critical commands, such as remote disconnect and reconnect commands, a higher level of security may be appropriate, such as approval by multiple parties, each of which must be authenticated at the receiving node. However, from the point of view of network efficiency, it is desirable that the node, to which the command is addressed, only needs to be contacted once to execute the command. These goals can be achieved by a permission system that provides all the information necessary for the node to authenticate an order. Essentially, every critical command that is sent to an application, such as a shutdown command to a meter, may require an accompanying permission. As noted above, different types of commands can be assigned to different security contexts. When a command is to be issued, either automatically by an application or through a user interface, the issuing application checks the security context of the command. If encryption is required, the command is forwarded to an appropriate hardware security module slot for such operation. If the security context is determined to require a permission, the command is forwarded to a permission server in the bunker, which issues the permissions. The permission server function can be implemented by a slot in the hardware security module.
En la figura 6 se ilustra un ejemplo de disposición y procedimiento de concesión de permisos, con referencia a una orden de desconexión de un local de la red de distribución eléctrica. En este ejemplo, uno de los módulos de negocio del back office 10, por ejemplo, un sistema de contabilidad, emite una orden a la aplicación de gestión de contadores 52, para desconectar los locales asociados a una cuenta. Al recibir esta orden, la aplicación de gestión de contadores puede programar la operación de desconexión para un momento determinado y, a continuación, envía un mensaje a un módulo gestor de carga 59 a través de un enlace seguro, solicitando permiso para emitir la orden. El gestor de carga es un componente de la lógica comercial que se encuentra dentro del búnker 42 y determina si los cambios de carga en la red de distribución pueden ser perjudiciales. En este ejemplo, el gestor de carga funciona como una implementación de un servidor de permisos. El gestor de carga puede rechazar la solicitud si se determina que el cambio solicitado puede ser perjudicial, aplazar la solicitud durante un periodo de tiempo, por ejemplo, si hay demasiadas solicitudes pendientes, o aprobar la solicitud. La solicitud al gestor de carga puede incluir información como el nodo objetivo, la hora de operación programada y el tamaño de la ventana de tiempo necesaria para completar la ejecución de la orden.Figure 6 illustrates an example of a provision and procedure for granting permits, with reference to an order to disconnect a premises from the electricity distribution network. In this example, one of the business modules of the back office 10, for example, an accounting system, issues an order to the meter management application 52, to disconnect the premises associated with an account. Upon receiving this order, the meter management application can schedule the disconnection operation for a specific time and then sends a message to a load manager module 59 through a secure link, requesting permission to issue the order. The load manager is a business logic component that sits within bunker 42 and determines whether load changes in the distribution network may be detrimental. In this example, the load manager works as an implementation of a permissions server. The upload manager can reject the request if it determines that the requested change may be harmful, defer the request for a period of time, for example, if there are too many pending requests, or approve the request. The request to the load manager may include information such as the target node, the scheduled time of operation, and the size of the time window required to complete the execution of the order.
Si la solicitud es aprobada, el gestor de carga crea un permiso que puede ser reconocido por el nodo al que se dirigirá la orden. Antes de que el permiso se devuelva a la aplicación de gestión de contadores 52, se firma con una clave asociada al gestor de carga. En el ejemplo ilustrado, el servidor de permisos, es decir, el gestor de carga 59 está separado del módulo de seguridad de hardware 44. En este caso, por tanto, el permiso se envía al módulo de seguridad de hardware para ser firmado con la clave privada del gestor de carga. El permiso firmado se devuelve al gestor de carga para que lo transmita a la aplicación de gestión de contadores 52.If the request is approved, the load manager creates a permission that can be recognized by the node to which the order will be directed. Before the permission is returned to the meter management application 52, it is signed with a key associated with the load manager. In the illustrated example, the permission server, that is, load manager 59 is separate from the hardware security module 44. In this case, therefore, the permission is sent to the hardware security module to be signed with the upload manager's private key. The signed permit is returned to the load manager for transmission to the meter management application 52.
Al recibir el permiso firmado, la aplicación de gestión de contadores envía la orden autorizada al nodo 26 que está asociado con las instalaciones a desconectar, junto con el permiso firmado. A continuación, el nodo puede verificar el permiso, por ejemplo, siguiendo una cadena de certificados desde el permiso, a través de las credenciales del gestor de carga, hasta una autoridad raíz asociada al operador del sistema para la red de distribución de energía. El nodo también verifica que los valores de tiempo dentro del permiso son consistentes con la hora actual. Si toda la información es correcta y está verificada, el nodo ejecuta la orden y envía un recibo firmado a la aplicación de gestión de contadores 52, indicando el cumplimiento de la orden. Se puede enviar una copia del recibo al gestor de carga 59, para que pueda llevar un seguimiento de las solicitudes pendientes.Upon receiving the signed permission, the meter management application sends the authorized order to the node 26 that is associated with the installations to be disconnected, together with the signed permission. The node can then verify the permission, for example, by following a chain of certificates from the permission, through the load manager's credentials, to a root authority associated with the system operator for the power distribution network. The node also checks that the time values within the permission are consistent with the current time. If all the information is correct and verified, the node executes the order and sends a signed receipt to the meter management application 52, indicating the fulfillment of the order. A copy of the receipt can be sent to load manager 59, so that it can keep track of pending requests.
La aplicación de gestión de contadores 52 también puede firmar la carga útil del paquete que se envía al nodo, para proporcionar dos autorizaciones separadas para la orden que son emitidas por diferentes entidades de control, a saber, la aplicación de gestión de contadores y el gestor de carga. Ambas formas de autorización deben ser verificadas por el nodo antes de ejecutar la orden. En este ejemplo, el servidor de permisos, por ejemplo el gestor de carga, no posee las credenciales necesarias para comunicarse directamente con el nodo 26. Más bien, proporciona credenciales a otra entidad de control, en este caso la aplicación de gestión de contadores 52, para la ejecución de la orden autorizada.The meter management application 52 may also sign the packet payload that is sent to the node, to provide two separate authorizations for the command that are issued by different controlling entities, namely the meter management application and the meter manager. load. Both forms of authorization must be verified by the node before executing the command. In this example, the permission server, for example the load manager, does not have the necessary credentials to communicate directly with the node 26. Rather, it provides credentials to another controlling entity, in this case the meter management application 52 , for the execution of the authorized order.
La lógica comercial para determinar si se aprueba una orden puede ser relativamente sencilla, por ejemplo, un algoritmo de cubo agujereado en el que se permite una ráfaga inicial de un número predeterminado de operaciones de desconexión, seguida de un número menor de operaciones por unidad de tiempo. En este caso, la función del gestor de carga podría implementarse dentro de una ranura del módulo de seguridad de hardware, utilizando el control de tasa descrito anteriormente. Otro algoritmo más complejo puede basarse en el estado de la red de distribución de energía, por ejemplo, haciendo un seguimiento de las cargas de energía reales y realizando determinaciones basadas en proyecciones de las necesidades de energía. Este ejemplo puede realizarse fuera del módulo de seguridad de hardware, como se muestra en la Figura 6, por ejemplo dentro de un sistema físico dedicado, un servidor virtual o una aplicación en un sistema compartido.The business logic for determining whether to approve an order may be relatively simple, for example, a leaky bucket algorithm in which an initial burst of a predetermined number of disconnect operations is allowed, followed by a smaller number of operations per unit of time. weather. In this case, the load manager function could be implemented within a hardware security module slot, using the rate control described above. Another more complex algorithm may be based on the state of the power distribution network, for example, by tracking actual power loads and making projection-based determinations of power needs. This example can be done outside of the hardware security module, as shown in Figure 6, for example within a dedicated physical system, a virtual server, or an application on a shared system.
Además de las desconexiones y reconexiones remotas, se puede exigir que otros tipos de órdenes tengan un permiso, como los comandos de limitación de carga que se dirigen a las instalaciones de un cliente para reducir el consumo durante un periodo de tiempo determinado. Además, si la operación segura de un tipo particular de dispositivo en el sistema es crítico para la estabilidad del sistema, como un componente de automatización de la distribución, se puede exigir que todas las órdenes emitidas a ese dispositivo tengan un permiso. Cada vez que un módulo de back office emite una orden a un dispositivo de este tipo, reenvía la orden al servidor de permisos, para obtener el permiso necesario.In addition to remote disconnects and reconnects, other types of commands can be required to have a permission, such as load limiting commands that are directed to a customer's premises to reduce consumption for a specified period of time. In addition, if the secure operation of a particular type of device in the system is critical to system stability, such as a distribution automation component, all commands issued to that device may be required to have a permission. Every time a back office module issues an order to such a device, it forwards the order to the permission server, to obtain the necessary permission.
En la Figura 7 se representa un formato ejemplar para un permiso contenido en la carga útil de un mensaje. El primer campo 60 de la carga útil del permiso indica una hora de inicio, es decir, el momento en que el permiso pasa a ser válido. Cuando un nodo recibe un mensaje que contiene una carga útil de permiso, el nodo compara la hora de inicio con su hora actual. Si la hora de inicio es posterior a la hora actual más un incremento predeterminado, por ejemplo, cinco minutos, el nodo rechaza el permiso como no válido.An exemplary format for a permission contained in a message payload is depicted in Figure 7. The first field 60 of the permission payload indicates a start time, ie, the time when the permission becomes valid. When a node receives a message containing a permission payload, the node compares the start time with its current time. If the start time is later than the current time plus a default increment, for example, five minutes, the node rejects the permission as invalid.
El segundo campo 62 de la carga útil del permiso indica una ventana de duración durante la cual el permiso sigue siendo válido. Este campo contiene un valor que indica el número de intervalos de tiempo predeterminados, por ejemplo, bloques de cinco minutos, más allá de la hora de inicio de la validez del permiso. Si la hora actual del nodo es mayor que la hora de inicio del permiso más el producto del intervalo predeterminado y el valor de la ventana, el permiso se rechaza como no válido. Por ejemplo, si la hora de inicio es 1:00:00, el valor de la ventana es 2, y la hora actual es 1:12:38, el permiso será rechazado por haber expirado.The second field 62 of the permission payload indicates a duration window during which the permission remains valid. This field contains a value indicating the number of predetermined time intervals, for example, five minute blocks, beyond the start time of the permit validity. If the current node time is greater than the permission start time plus the product of the default interval and the window value, the permission is rejected as invalid. For example, if the start time is 1:00:00, the window value is 2, and the current time is 1:12:38, the permission will be rejected as expired.
El siguiente campo 64 de la carga útil del permiso indica la operación que se permite realizar. Por ejemplo, este campo puede contener un valor que indique una operación de desconexión de energía, o una operación de reconexión de energía. Se pueden asociar varias operaciones a un mismo permiso. El campo de tipo de objetivo 66 indica el formato del campo objetivo 68 que sigue. El campo objetivo 68 designa el nodo, o dispositivo, que debe realizar la operación permitida. Por ejemplo, el objetivo podría ser la dirección MAC del nodo. El campo de tipo de objetivo 66 indica el formato en el que se expresa esta dirección, por ejemplo, una cadena de octetos DER.The next field 64 of the permission payload indicates the operation that is allowed to be performed. For example, this field may contain a value indicating a power off operation, or a power back on operation. Multiple operations can be associated with the same permission. The target type field 66 indicates the format of the target field 68 that follows. The target field 68 designates the node, or device, that is to perform the permitted operation. For example, the target could be the MAC address of the node. The target type field 66 indicates the format in which this address is expressed, eg, a DER octet string.
Para aumentar aún más la seguridad, se puede imponer la restricción de que una orden de desconexión o reconexión sólo puede ser emitida para un contador a la vez. Antes de emitir un permiso, el gestor de carga puede comprobar que la dirección objetivo del dispositivo está asociada a un único dispositivo y no es una dirección de grupo o de difusión.To further increase security, the restriction that a disconnection or reconnection order can only be issued for one meter at a time can be imposed. Before issuing a permission, the load manager can verify that the target address of the device is associated with a single device and is not a group or broadcast address.
La carga útil del permiso puede ser firmada por la clave privada asociada a un certificado con privilegios para la operación indicada. Al recibir el paquete de datos que contiene la carga útil del permiso, el nodo comprueba primero si la operación indicada requiere un permiso. Si se requiere un permiso, el nodo confirma que el certificado y la clave privada que se utilizaron para firmar el permiso tienen los privilegios necesarios para ejecutar la operación solicitada. Si la confirmación es afirmativa, el nodo verifica la autenticidad del permiso firmado, ya que ha sido firmado por la correspondiente clave privada del certificado indicado. A continuación, el nodo verifica que la designación de objetivo identifica al propio nodo. Por último, el nodo examina la hora de inicio y los valores de la ventana, en relación con su hora actual, para confirmar que el permiso no ha caducado.The permission payload may be signed by the private key associated with a certificate with privileges for the indicated operation. Upon receiving the data packet containing the permission payload, the node first checks whether the indicated operation requires a permission. If a permission is required, the node confirms that the certificate and key that were used to sign the permission have the necessary privileges to execute the requested operation. If the confirmation is affirmative, the node verifies the authenticity of the signed permission, since it has been signed by the corresponding private key of the indicated certificate. The node then verifies that the target designation identifies the node itself. Finally, the node examines the start time and window values, relative to its current time, to confirm that the permission has not expired.
Si todas las comprobaciones de verificación tienen éxito, la operación se ejecuta, y se devuelve una respuesta para confirmar la ejecución exitosa. Si alguno de los pasos de verificación falla, el permiso es rechazado y se devuelve un mensaje de error. En cuanto se hayan completado todas las operaciones del paquete de datos, o se devuelva un mensaje de error, el permiso se descarta y no se retiene más.If all verification checks are successful, the operation is executed, and a response is returned to confirm successful execution. If any of the verification steps fail, the permission is denied and an error message is returned. As soon as all operations on the data packet have completed, or an error message is returned, the permission is discarded and is no longer held.
En el caso de que el acceso al búnker se vea comprometido, se puede implementar una forma adecuada de acción correctiva. Una de estas soluciones es proporcionar un botón de pánico lógico o físico que esté asociado a un búnker. Este botón de pánico puede ser activado (por ejemplo, por una persona que presiona un botón físico o activa un elemento de la interfaz de usuario, o por una lógica que hace una determinación apropiada de forma automática) para informar al sistema de gestión de que el búnker asociado con el botón de pánico está comprometido, y ya no se debe confiar en él. Por ejemplo, cualquier solicitud de servicios de desconexión remota que esté firmada por un búnker comprometido debe ser ignorada.In the event that access to the bunker is compromised, an appropriate form of corrective action can be implemented. One of these solutions is to provide a logical or physical panic button that is associated with a bunker. This panic button may be activated (for example, by a person pressing a physical button or activating a user interface element, or by logic automatically making an appropriate determination) to inform the management system that the bunker associated with the panic button is compromised, and should no longer be trusted. For example, any request for remote shutdown services that is signed by a compromised bunker should be ignored.
El botón de pánico puede ser implementado en una variedad de formas. Algunos ejemplos adecuados son las señales de control que se envían a través de un sistema de comunicación inalámbrico o por cable, pulsadores físicos situados en lugares adecuados, por ejemplo, en los escritorios de los empleados, que están conectados a una red de área local o amplia, y/o los dispositivos portátiles con capacidad de órdenes de audio y conectividad inalámbrica.The panic button can be implemented in a variety of ways. Some suitable examples are control signals that are sent via a wired or wireless communication system, physical push buttons placed in suitable locations, for example, on employee desks, that are connected to a local area network, or wide, and/or portable devices with audio command capability and wireless connectivity.
La figura 8 ilustra un ejemplo de un sistema según una realización de la invención a la que se refiere esta patente europea, y en el que se puede implementar la funcionalidad de un botón de pánico. En este ejemplo, el sistema de gestión y control de servicios públicos está alojado en dos centros de datos 70 y 72. Por ejemplo, cada centro de datos puede contener una instancia completa de los distintos subsistemas de gestión y control, para que haya redundancia. Cada centro de datos contiene un búnker asociado, etiquetado respectivamente como "búnker1" y "búnker2". Cada búnker tiene un certificado con una cadena de certificados cuya raíz está en una autoridad conocida. Los certificados de los dos búnkeres son diferentes entre sí.Figure 8 illustrates an example of a system according to an embodiment of the invention referred to in this European patent, and in which the functionality of a panic button can be implemented. In this example, the utility management and control system is housed in two data centers 70 and 72. For example, each data center may contain a complete instance of the various management and control subsystems, for redundancy. Each data center contains an associated bunker, labeled respectively "bunker1" and "bunker2". Each bunker has a certificate with a chain of certificates rooted at a known authority. The certificates of the two bunkers are different from each other.
Cada uno de los nodos de la red de control, por ejemplo, los puntos de acceso 32 y los nodos del punto final 26, tiene la capacidad de almacenar e instalar una lista de revocación de certificados. Los puntos de acceso 32 también tienen la capacidad de filtrar las direcciones de origen.Each of the control network nodes, eg, access points 32 and endpoint nodes 26, have the ability to store and install a certificate revocation list. Access points 32 also have the ability to filter source addresses.
Se describirá una operación ejemplar para una situación en la que el acceso al búnker1 ha sido comprometido. Se activa un botón de pánico asociado al búnker1, y la señal de pánico resultante se envía a un servidor en el búnker2 que implementa la función del botón de pánico. Esta señal de pánico incluye una indicación adecuada de la autentificación del dispositivo desde el que se envía. Por ejemplo, puede incluir una firma asociada al dispositivo, o ir acompañada de un valor hash generado según un algoritmo predeterminado. Al recibir una señal de pánico autentificada, el servidor en el búnker 2 emite comandos para configurar una regla de cortafuegos para todos los puntos de acceso 32, que les ordena descartar los paquetes que se originan en el centro de datos 70. El servidor en el búnker2 también emite comandos para configurar una lista de revocación de certificados en todos los puntos de acceso, lo que indica que el certificado asociado al búnker1 ya no es válido. El servidor en el búnker2 también envía un mensaje a cada nodo final, indicándole que recargue su lista de revocación de certificados desde un punto de acceso.An exemplary operation will be described for a situation where access to bunker1 has been compromised. A panic button associated with bunker1 is activated, and the resulting panic signal is sent to a server in bunker2 that implements the panic button function. This panic signal includes a suitable indication of the authentication of the device from which it is sent. For example, it can include a signature associated with the device, or be accompanied by a hash value generated according to a predetermined algorithm. Upon receiving an authenticated panic signal, the server in bunker 2 issues commands to set up a firewall rule for all access points 32, instructing them to drop packets originating from data center 70. The server in bunker 2 bunker2 also issues commands to set up a certificate revocation list on all access points, indicating that the certificate associated with bunker1 is no longer valid. The server in bunker2 also sends a message to each end node, telling it to reload its certificate revocation list from an access point.
Configurando el filtro del cortafuegos en el punto de acceso para descartar los paquetes del centro de datos 70, un posible atacante puede ser ralentizado un periodo de tiempo suficiente para permitir que las listas de revocación de certificados se propaguen a todos los nodos de los puntos finales. Para recuperar el búnker después de que se haya producido una posible brecha, hay que instalar un nuevo certificado, y se hacen nuevas asociaciones con ese certificado que se propagan a todos los nodos de la red de control.By configuring the firewall filter on the access point to drop data center 70 packets, a would-be attacker can be slowed down long enough to allow certificate revocation lists to propagate to all endpoint nodes. . To recover the bunker after a possible breach has occurred, a new certificate must be installed, and new associations with that certificate are made and propagated to all nodes in the control network.
En resumen, la presente divulgación proporciona una variedad de características de seguridad para reducir el riesgo de acciones maliciosas o inapropiadas asociadas con la entrega de productos básicos proporcionados por los servicios públicos. Las órdenes críticas que tienen el potencial de perturbar la estabilidad de una red de distribución de servicios públicos están aseguradas mediante el mecanismo de un búnker físico que limita el acceso a los componentes sensibles del sistema de gestión del back office, junto con el uso de un módulo de seguridad de hardware para autenticar, firmar y cifrar dichas órdenes. Un marco de autorización basado en permisos proporciona un nivel de seguridad más fino para órdenes especialmente críticas. El módulo de seguridad de hardware también puede configurarse para limitar la tasa de ejecución de las órdenes, para impedir aún más los intentos de emitir secuencias de órdenes inadecuadas.In summary, the present disclosure provides a variety of security features to reduce the risk of malicious or inappropriate actions associated with the delivery of utility-provided commodities. Critical orders that have the potential to disrupt the stability of a utility distribution network are secured through the mechanism of a physical bunker that limits access to sensitive components of the back office management system, along with the use of a hardware security module to authenticate, sign and encrypt said orders. A permission-based authorization framework provides a finer level of security for especially critical orders. The hardware security module can also be configured to limit the execution rate of commands, to further prevent attempts to issue inappropriate scripts.
Se apreciará por los expertos en la materia que los conceptos divulgados pueden ser incorporados en otras formas específicas sin apartarse del espíritu o características esenciales de los mismos. Las formas de realización y los ejemplos ilustrativos divulgados actualmente se consideran en todos los aspectos ilustrativos y no restrictivos. El alcance de la invención a la que se refiere esta patente europea se indica en las reivindicaciones adjuntas, más que en la descripción anterior. It will be appreciated by those skilled in the art that the disclosed concepts may be incorporated in other specific forms without departing from the spirit or essential features thereof. The presently disclosed illustrative embodiments and examples are considered in all respects to be illustrative and not restrictive. The scope of the invention to which this European patent refers is indicated in the appended claims, rather than in the previous description.
Claims (15)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/939,702 US9961550B2 (en) | 2010-11-04 | 2010-11-04 | Physically secured authorization for utility applications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2911500T3 true ES2911500T3 (en) | 2022-05-19 |
Family
ID=46020394
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES20154897T Active ES2932380T3 (en) | 2010-11-04 | 2011-10-11 | Physically Secured Authorization for Utility Applications |
| ES20154890T Active ES2911500T3 (en) | 2010-11-04 | 2011-10-11 | Physically Secured Authorization for Utility Applications |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES20154897T Active ES2932380T3 (en) | 2010-11-04 | 2011-10-11 | Physically Secured Authorization for Utility Applications |
Country Status (14)
| Country | Link |
|---|---|
| US (3) | US9961550B2 (en) |
| EP (3) | EP3684007B1 (en) |
| JP (2) | JP2014501955A (en) |
| KR (1) | KR101430376B1 (en) |
| CN (1) | CN103430183B (en) |
| AU (1) | AU2011323917B2 (en) |
| BR (1) | BR112013011804A2 (en) |
| CA (2) | CA2816989C (en) |
| DK (2) | DK3684007T3 (en) |
| ES (2) | ES2932380T3 (en) |
| MY (1) | MY168385A (en) |
| SG (1) | SG190152A1 (en) |
| TW (1) | TWI536285B (en) |
| WO (1) | WO2012060979A1 (en) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8635036B2 (en) * | 2011-01-04 | 2014-01-21 | General Electric Company | Systems, methods, and apparatus for providing energy management utilizing a power meter |
| US8880883B2 (en) * | 2013-03-15 | 2014-11-04 | Silver Spring Networks, Inc. | Secure end-to-end permitting system for device operations |
| EP2801050A4 (en) | 2012-01-06 | 2015-06-03 | Optio Labs Llc | Systems and meathods for enforcing secutity in mobile computing |
| US9787681B2 (en) | 2012-01-06 | 2017-10-10 | Optio Labs, Inc. | Systems and methods for enforcing access control policies on privileged accesses for mobile devices |
| US9609020B2 (en) | 2012-01-06 | 2017-03-28 | Optio Labs, Inc. | Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines |
| US9154568B2 (en) * | 2012-03-20 | 2015-10-06 | Facebook, Inc. | Proxy bypass login for applications on mobile devices |
| US9672574B2 (en) | 2012-03-20 | 2017-06-06 | Facebook, Inc. | Bypass login for applications on mobile devices |
| US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
| US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
| US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
| US9363670B2 (en) | 2012-08-27 | 2016-06-07 | Optio Labs, Inc. | Systems and methods for restricting access to network resources via in-location access point protocol |
| US9773107B2 (en) * | 2013-01-07 | 2017-09-26 | Optio Labs, Inc. | Systems and methods for enforcing security in mobile computing |
| US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
| US9547771B2 (en) * | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
| US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
| US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
| US9608813B1 (en) | 2013-06-13 | 2017-03-28 | Amazon Technologies, Inc. | Key rotation techniques |
| US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
| US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
| US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
| US20140283136A1 (en) | 2013-03-13 | 2014-09-18 | Optio Labs, Inc. | Systems and methods for securing and locating computing devices |
| DE102013227184A1 (en) * | 2013-12-27 | 2015-07-02 | Robert Bosch Gmbh | Method for securing a system-on-a-chip |
| US20150288183A1 (en) | 2014-04-06 | 2015-10-08 | CleanSpark Technologies LLC | Establishing communication and power sharing links between components of a distributed energy system |
| US9584509B2 (en) | 2014-05-07 | 2017-02-28 | Cryptography Research, Inc. | Auditing and permission provisioning mechanisms in a distributed secure asset-management infrastructure |
| US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
| MX2018016420A (en) * | 2014-06-02 | 2021-08-13 | Schlage Lock Co Llc | Electronic credental management system. |
| US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
| CN104181886B (en) * | 2014-08-13 | 2017-08-08 | 惠州Tcl移动通信有限公司 | A kind of intelligent domestic system and control method |
| US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
| US10062226B2 (en) * | 2014-12-02 | 2018-08-28 | Carrier Corporation | Access control system with automatic mobile credentialing service hand-off |
| JP6492667B2 (en) * | 2015-01-07 | 2019-04-03 | 東京電力ホールディングス株式会社 | Equipment control system |
| US10712126B2 (en) | 2015-08-25 | 2020-07-14 | Axon Enterprise, Inc. | Systems and methods for cooperation among weapons, holsters, and recorders |
| US9608993B1 (en) | 2016-02-01 | 2017-03-28 | International Business Machines Corporation | Credential abuse prevention and efficient revocation with oblivious third party |
| US20180198620A1 (en) * | 2017-01-11 | 2018-07-12 | Raptor Engineering, LLC | Systems and methods for assuring data on leased computing resources |
| WO2018140420A1 (en) * | 2017-01-24 | 2018-08-02 | Honeywell International, Inc. | Voice control of an integrated room automation system |
| US10542072B1 (en) * | 2017-10-04 | 2020-01-21 | Parallels International Gmbh | Utilities toolbox for remote session and client architecture |
| DE102018003061A1 (en) * | 2018-02-03 | 2019-08-08 | Diehl Metering Systems Gmbh | Method for the secure operation of an electronic consumption data module and consumption data module |
| GB2575250B (en) * | 2018-06-28 | 2021-04-21 | Arm Ip Ltd | Methods for delivering an authenticatable management activity to remote devices |
| CN108879963B (en) * | 2018-08-01 | 2023-10-20 | 南方电网科学研究院有限责任公司 | Power load management device and method |
| CN109636116A (en) * | 2018-11-14 | 2019-04-16 | 遵义华正电缆桥架有限公司 | A kind of equipment of security power construction |
| CN112308354A (en) * | 2019-07-31 | 2021-02-02 | 中兴通讯股份有限公司 | System overload control method and device |
| US11429401B2 (en) * | 2020-03-04 | 2022-08-30 | Landis+Gyr Innovations, Inc. | Navigating a user interface of a utility meter with touch-based interactions |
| US20230205935A1 (en) * | 2021-12-28 | 2023-06-29 | Ati Technologies Ulc | Software assisted acceleration in cryptographic queue processing |
| US20230370445A1 (en) * | 2022-05-12 | 2023-11-16 | Itron, Inc. | Secured authorization for demand response |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
| AUPP471098A0 (en) | 1998-07-16 | 1998-08-06 | United Technology Pty Ltd | Internet utility interconnect method and means |
| US6587032B2 (en) * | 2000-11-28 | 2003-07-01 | International Business Machines Corporation | System and method for controlling access to a computer resource |
| EP1360814B1 (en) * | 2001-02-06 | 2007-04-11 | Certicom Corp. | Mobile certificate distribution in a public key infrastructure |
| US20020162019A1 (en) * | 2001-04-25 | 2002-10-31 | Berry Michael C. | Method and system for managing access to services |
| JP3822475B2 (en) | 2001-09-14 | 2006-09-20 | 三菱電機株式会社 | Power system management method and power system management system |
| JP2003111156A (en) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | Digital household electric appliance |
| US7058807B2 (en) | 2002-04-15 | 2006-06-06 | Intel Corporation | Validation of inclusion of a platform within a data center |
| US7464272B2 (en) | 2003-09-25 | 2008-12-09 | Microsoft Corporation | Server control of peer to peer communications |
| US7711965B2 (en) | 2004-10-20 | 2010-05-04 | Intel Corporation | Data security |
| US20060095454A1 (en) * | 2004-10-29 | 2006-05-04 | Texas Instruments Incorporated | System and method for secure collaborative terminal identity authentication between a wireless communication device and a wireless operator |
| US7231280B2 (en) | 2004-12-14 | 2007-06-12 | Costa Enterprises, L.L.C. | Dynamic control system for power sub-network |
| CN101467131A (en) | 2005-07-20 | 2009-06-24 | 美国唯美安视国际有限公司 | Network user authentication system and method |
| US20080222714A1 (en) | 2007-03-09 | 2008-09-11 | Mark Frederick Wahl | System and method for authentication upon network attachment |
| US7770789B2 (en) | 2007-05-17 | 2010-08-10 | Shift4 Corporation | Secure payment card transactions |
| CN201118607Y (en) | 2007-11-19 | 2008-09-17 | 上海久隆电力科技有限公司 | Uniform identity authentication platform system |
| US8321915B1 (en) * | 2008-02-29 | 2012-11-27 | Amazon Technologies, Inc. | Control of access to mass storage system |
| US8752770B2 (en) | 2008-08-19 | 2014-06-17 | Mastercard International Incorporated | Methods and systems to remotely issue proximity payment devices |
| WO2010096923A1 (en) * | 2009-02-27 | 2010-09-02 | Certicom Corp. | System and method for securely communicating with electronic meters |
| US8918842B2 (en) * | 2010-02-19 | 2014-12-23 | Accenture Global Services Limited | Utility grid command filter system |
| US8600575B2 (en) * | 2010-09-24 | 2013-12-03 | Synapsense Corporation | Apparatus and method for collecting and distributing power usage data from rack power distribution units (RPDUs) using a wireless sensor network |
| US8670946B2 (en) * | 2010-09-28 | 2014-03-11 | Landis+Gyr Innovations, Inc. | Utility device management |
-
2010
- 2010-11-04 US US12/939,702 patent/US9961550B2/en active Active
-
2011
- 2011-10-11 MY MYPI2013001610A patent/MY168385A/en unknown
- 2011-10-11 AU AU2011323917A patent/AU2011323917B2/en active Active
- 2011-10-11 DK DK20154897.1T patent/DK3684007T3/en active
- 2011-10-11 CA CA2816989A patent/CA2816989C/en active Active
- 2011-10-11 ES ES20154897T patent/ES2932380T3/en active Active
- 2011-10-11 CN CN201180059505.XA patent/CN103430183B/en active Active
- 2011-10-11 SG SG2013034319A patent/SG190152A1/en unknown
- 2011-10-11 EP EP20154897.1A patent/EP3684007B1/en active Active
- 2011-10-11 DK DK20154890.6T patent/DK3664367T3/en active
- 2011-10-11 BR BR112013011804A patent/BR112013011804A2/en not_active Application Discontinuation
- 2011-10-11 EP EP20154890.6A patent/EP3664367B1/en active Active
- 2011-10-11 EP EP11838427.0A patent/EP2635994B1/en active Active
- 2011-10-11 WO PCT/US2011/055705 patent/WO2012060979A1/en active Application Filing
- 2011-10-11 JP JP2013537679A patent/JP2014501955A/en active Pending
- 2011-10-11 ES ES20154890T patent/ES2911500T3/en active Active
- 2011-10-11 CA CA3077012A patent/CA3077012C/en active Active
- 2011-10-11 KR KR1020137014246A patent/KR101430376B1/en active IP Right Grant
- 2011-11-02 TW TW100139923A patent/TWI536285B/en active
-
2016
- 2016-05-02 US US15/144,118 patent/US10455420B2/en active Active
- 2016-06-01 JP JP2016110199A patent/JP6349347B2/en active Active
-
2018
- 2018-04-10 US US15/949,244 patent/US10609562B2/en active Active
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2911500T3 (en) | Physically Secured Authorization for Utility Applications | |
| US8918639B2 (en) | Smarter leveraging of the power grid to substantially improve security of distributed systems via a control plane data communication network over the smart power grid | |
| CN1926837B (en) | Method and apparatuses for sharing cryptographic key with an embedded agent on a network endpoint in a network domain | |
| EP2868031B1 (en) | Secure key storage systems, methods and apparatuses | |
| CN106027251B (en) | A kind of identity card card-reading terminal and cloud authentication platform data transmission method and system | |
| CN109995792A (en) | A kind of safety management system storing equipment | |
| KR20230110287A (en) | Remote management of hardware security modules | |
| CN105991649B (en) | A kind of scheduling system of reading identity card | |
| KR102160453B1 (en) | Protection system and method of electric power systems | |
| Asavachivanthornkul | Best practices and research for handling demand response security issues in the smart grid | |
| Paranjpe | Security and privacy in demand response systems in smart grid | |
| Paranjpe et al. | Mithila Paranjpe BE, Gujarat University, 2007 |